Význam kybernetické bezpečnosti v digitalizovaném světě roste. Minula doba, kdy byl antivir dostatečnou ochranou firmy před tím, aby roky úsilí přišly vniveč jediným neuváženým kliknutím na internetu. Na tuto skutečnost reaguje i legislativa. K jakým konkrétním změnám v zákonodárství dochází?
Daniela Procházková
vedoucí Oddělení regulace veřejného sektoru, NÚKIB
Povinnost zajišťovat kybernetickou bezpečnost měl doposud na základě zákona o kybernetické bezpečnosti jen omezený okruh firem, které jsou stěžejní pro chod České republiky. To se s příchodem nové evropské směrnice o kybernetické bezpečnosti (tzv. NIS2) mění.
Na koho se NIS2 vztahuje?
Směrnice stanovuje vyšší počet regulovaných odvětví. Nadále tam najdeme dopravu, energetiku nebo zdravotnictví, ale nově je zde např. i potravinářství, výzkum či výroba. Povinnosti se nově týkají všech velkých a středních podniků, které poskytují vybrané služby v regulovaných odvětvích. Ze současných přibližně čtyř seti regulovaných organizací se tak nově stanou tisíce.
NÚKIB připravil zcela nový zákon o kybernetické bezpečnosti
Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) zpracoval návrh nového zákona o kybernetické bezpečnosti, který převede požadavky NIS2 do české legislativy. V nejbližších měsících by tento návrh měl vstoupit do projednání v Parlamentu.
Dvojí metr pro firmy podle velikosti
Zákon nově nestanovuje stejnou míru povinností všem, je „dvojrychlostní“. Zjednodušeně to znamená, že velké podniky budou mít více závazků, zatímco ty střední budou mít tyto povinnosti jen na velmi základní úrovni.
V první řadě bude nutná registrace u NÚKIB. Ta platí pro všechny, na které se zákon bude vztahovat. Její podstatou je přihlásit se po zhodnocení identifikačních kritérií do regulace. Toto vyhodnocení provádí každý subjekt sám, stejně jako samotnou registraci. Součástí pak je také povinnost stanovit kontaktní osobu pro záležitosti související s kybernetickou bezpečností.
Druhý závazek představuje zavedení preventivních bezpečnostních opatření (od školení uživatelů až po nasazení různých softwarových nástrojů). To tvoří podstatu regulace kybernetické bezpečnosti, protože cílem této prevence je odvrátit fatální dopady, jež by mohl úspěšný kybernetický útok na firmu mít. Je nesporné, že mnoho předepsaných opatření již firmy z opatrnosti zavedeno mají. Na jejich plné zavedení dává zákon lhůtu jednoho roku, kterou ovšem lze za zachování daných postupů v některých případech i překročit.
Poslední povinností, kterou zmíním, je nutnost ohlásit na stanovená místa (tzn. Vládní nebo Národní CERT), že ve firmě kybernetický incident přeci jen nastal. Díky tomu budou mít CERTy přehled o dění v kyberprostoru. Zároveň budou mít možnost zasažené firmě pomoci a také případně varovat jiné subjekty před potenciálním nebezpečím. Cílem tedy není hledat nějaké bezpečnostní nedostatky, ale naopak minimalizovat hrozby.
K podobě nového zákona spustil NÚKIB již v srpnu roku 2022 informační web nis2.nukib.gov.cz, kde dochází k průběžné aktualizaci informací. Závěrem bych ráda uvedla, že kybernetická bezpečnost je nedílnou součástí digitalizace. Její zavádění by dnes proto nemělo být důsledkem podvolení se povinnosti dané státem, ale vlastním byznysovým rozhodnutím vedeným rozumem.
NÚKIB v rámci své činnosti nabízí také zdarma dostupné kurzy kybernetické bezpečnosti pro všechny věkové kategorie a různé profese.